From 699418e1b9acbd7e7d189dc5ee64caf621cf5658 Mon Sep 17 00:00:00 2001
From: Vincent Mazenod <vmazenod@gmail.com>
Date: Mon, 2 Sep 2024 18:35:44 +0200
Subject: [PATCH] 2024 update
---
content/Etudiants/zz2-f5-websec.md | 74 +++++++++++++------------
content/slides/1337/exploits/install.sh | 26 +++++++++
content/slides/1337/http.html | 2 +-
content/slides/1337/md/lab.md | 20 +++----
content/slides/main.js | 6 +-
pelicanconf.py | 2 +-
6 files changed, 78 insertions(+), 52 deletions(-)
create mode 100644 content/slides/1337/exploits/install.sh
diff --git a/content/Etudiants/zz2-f5-websec.md b/content/Etudiants/zz2-f5-websec.md
index 8c63e6e..afe465b 100644
--- a/content/Etudiants/zz2-f5-websec.md
+++ b/content/Etudiants/zz2-f5-websec.md
@@ -1,5 +1,5 @@
Title: ZZ2 F5 - Securité logicielle - sécurité des applications web
-Date: 2022-09-13 10:55
+Date: 2024-09-03 10:55
Category: <i class='fa fa-graduation-cap' aria-hidden='true'></i> Étudiants
Tags: cours
@@ -269,13 +269,13 @@ vboxmanage natnetwork add --netname natwebsec --network "172.16.76.0/24" --enab
### Télécharger les images OVA
-voir [https://drive.mesocentre.uca.fr/d/69e5535b0b88425396d7/](https://drive.mesocentre.uca.fr/d/69e5535b0b88425396d7/)
+voir [https://owncloud.isima.fr/s/9mAh9XS2QzjzifJ](https://owncloud.isima.fr/s/9mAh9XS2QzjzifJ)
-* [kali.ova](https://drive.mesocentre.uca.fr/d/69e5535b0b88425396d7/files/?p=/kali.ova&dl=1)
-* [dvwa.ova](https://drive.mesocentre.uca.fr/d/69e5535b0b88425396d7/files/?p=/dvwa.ova&dl=1)
-* [debian.ova](https://drive.mesocentre.uca.fr/d/69e5535b0b88425396d7/files/?p=/debian.ova&dl=1)
-* [proxy.ova](https://drive.mesocentre.uca.fr/d/69e5535b0b88425396d7/files/?p=/proxy.ova&dl=1)
-* [debian11](https://drive.mesocentre.uca.fr/d/69e5535b0b88425396d7/files/?p=/debian11.ova&dl=1)
+* kali.ova
+* dvwa.ova
+* debian.ova
+* proxy.ova
+* debian11
<div class="panel panel-warning">
<div class="panel-heading">
@@ -417,7 +417,7 @@ Ce bug est dû à la numérotation fantaisiste d'Ubuntu des interfaces réseau .
### 📢 Présentation de groupe au début de chaque cours (8 points)
-* Chaque présentation durera 15 minutes et devra présenter l'une des catgorie de vulnérabilité du [OWASP Top 10:2021](https://owasp.org/Top10/fr/) c'est à dire
+* Chaque présentation durera 15 minutes et devra présenter l'une des catgories de vulnérabilité du [OWASP Top 10:2021](https://owasp.org/Top10/fr/) c'est à dire
* présentation des risques
* proposition et démonstration d'un scénrio d'attaque
* DVWA est interdit car le cours le traite déjÃ
@@ -429,42 +429,46 @@ Ce bug est dû à la numérotation fantaisiste d'Ubuntu des interfaces réseau .
#### Calendrier FISE
-* [mardi 19/09/2023] [A01:2021-Broken Access Control](https://owasp.org/Top10/A01_2021-Broken_Access_Control/)
-* [mardi 26/09/2023] [A02:2021-Défaillances cryptographiques](https://owasp.org/Top10/fr/A02_2021-Cryptographic_Failures/)
-* [mardi 03/10/2023] [A03:2021-Injection](https://owasp.org/Top10/fr/A03_2021-Injection/)
-* [mardi 10/10/2023] [A04:2021-Conception non sécurisée](https://owasp.org/Top10/fr/A04_2021-Insecure_Design/)
-* [mardi 17/10/2023] [A05:2021-Mauvaise configuration de sécurité](https://owasp.org/Top10/fr/A05_2021-Security_Misconfiguration/)
-* [mardi 24/10/2023] [A06:2021-Composants vulnérables et obsolètes](https://owasp.org/Top10/fr/A06_2021-Vulnerable_and_Outdated_Components/)
-* [mardi 07/11/2023] [A07:2021-Identification et authentification de mauvaise qualité](https://owasp.org/Top10/fr/A07_2021-Identification_and_Authentication_Failures/)
-* [mardi 14/11/2023] [A08:2021-Manque d'intégrité des données et du logiciel](https://owasp.org/Top10/fr/A07_2021-Identification_and_Authentication_Failures/)
-* [mardi 21/11/2023] [A09:2021-Carence des systèmes de contrôle et de journalisation](https://owasp.org/Top10/fr/A09_2021-Security_Logging_and_Monitoring_Failures/)
+* [10/09/2024 10h00]
+* [17/09/2024 10h00] [A01:2021-Broken Access Control](https://owasp.org/Top10/A01_2021-Broken_Access_Control/)
+* [24/09/2024 10h00] [A02:2021-Défaillances cryptographiques](https://owasp.org/Top10/fr/A02_2021-Cryptographic_Failures/)
+* [01/10/2024 10h00] [A03:2021-Injection](https://owasp.org/Top10/fr/A03_2021-Injection/)
+* [11/10/2024 08h00] [A04:2021-Conception non sécurisée](https://owasp.org/Top10/fr/A04_2021-Insecure_Design/)
+* [15/10/2024 10h00] [A05:2021-Mauvaise configuration de sécurité](https://owasp.org/Top10/fr/A05_2021-Security_Misconfiguration/)
+* [05/11/2024 10h00] [A06:2021-Composants vulnérables et obsolètes](https://owasp.org/Top10/fr/A06_2021-Vulnerable_and_Outdated_Components/)
+* [08/11/2024 10h00] [A07:2021-Identification et authentification de mauvaise qualité](https://owasp.org/Top10/fr/A07_2021-Identification_and_Authentication_Failures/)
+* [12/11/2024 10h00] [A08:2021-Manque d'intégrité des données et du logiciel](https://owasp.org/Top10/fr/A07_2021-Identification_and_Authentication_Failures/)
+* [19/11/2024 10h00] [A09:2021-Carence des systèmes de contrôle et de journalisation](https://owasp.org/Top10/fr/A09_2021-Security_Logging_and_Monitoring_Failures/)
* si un groupe souhaite travailler sur [A10:2021-Falsification de requête côté serveur](https://owasp.org/Top10/fr/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/) il est possible d'échanger avec une autre vulnérabilité
-* **Vous vous organiserez avec le fichier Excel [exposés FISE 2023-2024](https://ucafr.sharepoint.com/:x:/s/websec/EU1AedCh_zVJp8vaAocOOIcBYyEPI7YRDFkwq9cq13tuvw?e=Qq7e6x)**
+* **Vous vous organiserez avec le fichier Excel [exposés FISE 2023-2024](https://ucafr.sharepoint.com/:x:/s/websec/EbmHrZpxRnZIvKnwg_3yJ08BtGkOfpk59B7gvDEW7jkSYA?e=fCEolV)**
#### Calendrier FISA
-* [mardi 19/09/2022] [A01:2021-Broken Access Control](https://owasp.org/Top10/A01_2021-Broken_Access_Control/)
-* [mardi 26/09/2023] [A02:2021-Défaillances cryptographiques](https://owasp.org/Top10/fr/A02_2021-Cryptographic_Failures/)
-* [mardi 07/11/2023] [A03:2021-Injection ](https://owasp.org/Top10/fr/A03_2021-Injection/)
-* [mardi 14/11/2023] [A04:2021-Conception non sécurisée](https://owasp.org/Top10/fr/A04_2021-Insecure_Design/)
-* [mardi 21/11/2023] [A05:2021-Mauvaise configuration de sécurité](https://owasp.org/Top10/fr/A05_2021-Security_Misconfiguration/)
-* [mardi 28/11/2023] [A06:2021-Composants vulnérables et obsolètes](https://owasp.org/Top10/fr/A06_2021-Vulnerable_and_Outdated_Components/)
-* [mardi 05/12/2023] [A07:2021-Identification et authentification de mauvaise qualité](https://owasp.org/Top10/fr/A07_2021-Identification_and_Authentication_Failures/)
-* [lundi 16/01/2024] [A08:2021-Manque d'intégrité des données et du logiciel](https://owasp.org/Top10/fr/A07_2021-Identification_and_Authentication_Failures/)
-* [lundi 23/01/2024] [A09:2021-Carence des systèmes de contrôle et de journalisation](https://owasp.org/Top10/fr/A09_2021-Security_Logging_and_Monitoring_Failures/)
-* si un groupe souhaite travailler sur [A10:2021-Falsification de requête côté serveur](https://owasp.org/Top10/fr/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/) il est possible d'échanger avec une autre vulnérabilité
-* **Vous vous organiserez avec le fichier Excel [exposés FISA 2023-2024](https://ucafr.sharepoint.com/:x:/s/websec/EbKNHMhwplZHhA_GW0N80oQBKj6guKeRuPQsd0eJWJLojA?e=gVKl4y)**
+* [03/09/2024 13h30]
+* [10/09/2024 13h30] [A01:2021-Broken Access Control](https://owasp.org/Top10/A01_2021-Broken_Access_Control/)
+* [17/09/2024 13h30] [A02:2021-Défaillances cryptographiques](https://owasp.org/Top10/fr/A02_2021-Cryptographic_Failures/)
+* [24/09/2024 13h30] [A03:2021-Injection ](https://owasp.org/Top10/fr/A03_2021-Injection/)
+* [05/11/2024 13h30] [A04:2021-Conception non sécurisée](https://owasp.org/Top10/fr/A04_2021-Insecure_Design/)
+* [12/11/2024 13h30] [A05:2021-Mauvaise configuration de sécurité](https://owasp.org/Top10/fr/A05_2021-Security_Misconfiguration/)
+* [19/11/2024 13h30] [A06:2021-Composants vulnérables et obsolètes](https://owasp.org/Top10/fr/A06_2021-Vulnerable_and_Outdated_Components/)
+* [26/11/2024 10h00] [A07:2021-Identification et authentification de mauvaise qualité](https://owasp.org/Top10/fr/A07_2021-Identification_and_Authentication_Failures/)
+* [26/11/2024 13h30] [A08:2021-Manque d'intégrité des données et du logiciel](https://owasp.org/Top10/fr/A07_2021-Identification_and_Authentication_Failures/)
+* [03/12/2024 10h00] [A09:2021-Carence des systèmes de contrôle et de journalisation](https://owasp.org/Top10/fr/A09_2021-Security_Logging_and_Monitoring_Failures/)
+* [03/12/2024 13h30] [A10:2021-Falsification de requête côté serveur](https://owasp.org/Top10/fr/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/)
+* [14/12/2024 13h30]
+
+* **Vous vous organiserez avec le fichier Excel [exposés FISA 2023-2024](https://ucafr.sharepoint.com/:x:/s/websec/Ecs8_fKFoZ9GsGYqjuXligoB-QFi2hvJr11qOHH-AW53-w?e=3EzoW7)**
### 🔨 Note technique (2 points)
-* l'url `http://vm-etu-<username>.local.isima.fr` devra renvoyer un code HTTP 200
-* l'url `http://vm-etu-<username>.local.isima.fr/websec` devra renvoyer un code HTTP 401
-* l'url `http://kali:kali@vm-etu-<username>.local.isima.fr/websec` devra renvoyer un code HTTP 200
+* l'url `http://vm-<username>.local.isima.fr` devra renvoyer un code HTTP 200
+* l'url `http://vm-<username>.local.isima.fr/websec` devra renvoyer un code HTTP 401
+* l'url `http://kali:kali@vm-<username>.local.isima.fr/websec` devra renvoyer un code HTTP 200
vérifiez à tout moment que vous aurez le maximum de points avec les [websec-checker](https://gitlab.isima.fr/vimazeno/websec-checker)
-### 🔠bonus piraterie (+3 points)
+<!-- ### 🔠bonus piraterie (+3 points)
Une faille est cachée sur le Système d'information de l'ISIMA. Le premier qui me l'envoie par mail à [vincent.mazenod@isima.fr](mailto:vincent.mazenod@isima.fr) verra sa note de présentation ET sa note d'examen finale augmentée de **3 points**.
@@ -488,7 +492,7 @@ Vous avez droit à autant de proposition que vous le souhaitez, car il y a fort
<li>La faille est accessible depuis l'extérieur, pas besoin du <a href="https://doc.isima.fr/acces-distant/vpn">VPN</a></li>
</ol>
</div>
-</div>
+</div> -->
<!--
### 🔥 audit de sécurité sur 2 heures
@@ -624,7 +628,7 @@ Un repo Gitlab sur [https://gitlab.isima.fr](https://gitlab.isima.fr), par binô
## Evaluation du cours
-Vous avez aimé ou vous avez détesté ce cours ... [donnez moi votre avis et aidez moi à l'améliorer (en tout anonymat)](https://docs.google.com/forms/d/1-eqDphSzROWVQoJ5adKBG31us7-s9ZkwnKktK7wSLhs/prefill)
+Vous avez aimé ou vous avez détesté ce cours ... [donnez moi votre avis et aidez moi à l'améliorer (en tout anonymat)](https://docs.google.com/forms/d/1avtXTo4vmbGZJA22hatzFjjfo40CPEIHkc9D9tzX7eM)
## See also
diff --git a/content/slides/1337/exploits/install.sh b/content/slides/1337/exploits/install.sh
new file mode 100644
index 0000000..d1f4f0f
--- /dev/null
+++ b/content/slides/1337/exploits/install.sh
@@ -0,0 +1,26 @@
+echo off
+color 0a
+title Hacking System...
+echo Accessing mainframe...
+ping localhost -n 2 >nul
+echo Mainframe accessed.
+ping localhost -n 2 >nul
+echo Decrypting firewall...
+ping localhost -n 2 >nul
+echo Firewall decrypted.
+ping localhost -n 2 >nul
+echo Initiating backdoor entry...
+ping localhost -n 2 >nul
+echo Backdoor entry successful.
+ping localhost -n 2 >nul
+echo Downloading Trojan...
+ping localhost -n 2 >nul
+echo Trojan downloaded successfully.
+ping localhost -n 2 >nul
+echo Sending data to hacker's server...
+ping localhost -n 2 >nul
+echo Data sent successfully.
+ping localhost -n 2 >nul
+echo Initiating system shutdown...
+ping localhost -n 2 >nul
+shutdown -s -t 30 -c "System hacked! Initiating self-destruct sequence..."
\ No newline at end of file
diff --git a/content/slides/1337/http.html b/content/slides/1337/http.html
index f51f57e..a19b9bb 100644
--- a/content/slides/1337/http.html
+++ b/content/slides/1337/http.html
@@ -68,7 +68,7 @@
</script>
<script>
document.addEventListener('DOMContentLoaded', function () {
- q = "w00t"; // search query
+ q = "finger guns"; // search query
request = new XMLHttpRequest;
request.open('GET', 'https://api.giphy.com/v1/gifs/random?api_key=GmPNFEPI5osSNgLf9IcWoq00anejpuQY&tag='+q, true);
diff --git a/content/slides/1337/md/lab.md b/content/slides/1337/md/lab.md
index 5245aac..87f3550 100644
--- a/content/slides/1337/md/lab.md
+++ b/content/slides/1337/md/lab.md
@@ -4,9 +4,10 @@
### h4PpY H4Ck1nG
-## <i class="fa-solid fa-poo-storm"></i> pitch V2 🙉
-* [http://dvwa](http://dvwa)
+## <i class="fa-solid fa-poo-storm"></i> environnement
+
+* [http://dv.wa](http://dv.wa)
* la vulnérable
* [https://perso.limos.fr/mazenod/slides/1337/exploits](https://perso.limos.fr/mazenod/slides/1337/exploits)
* la malicieuse
@@ -14,16 +15,17 @@
* l'attaquante
-## <i class="fa-solid fa-poo-storm"></i> pitch étendu ðŸ˜
+## <i class="fa-solid fa-poo-storm"></i> environnement
* [http://proxy](http://proxy)
* la passerelle percée
* [http://debian](http://debian)
* la mututalisée moisie
-* [http://thenetwork](http://thenetwork)
- * la white box pour l'audit de sécurité (*FISA ONLY*)
* [http://debian11](http://debian11)
* la fresh
+* [http://thenetwork](http://thenetwork)
+ * la white box pour l'audit de sécurité (*FISA MAYBE*)
+ * https://www.digitalocean.com/community/tutorials/how-to-use-sshfs-to-mount-remote-file-systems-over-ssh
## VirtualBox
@@ -165,10 +167,4 @@ install [Web developer](https://chrispederick.com/work/web-developer/)
- ca commence la **SEMAINE PROCHAINE**
- [calendrier FISE](/zz2-f5-securite-logicielle-securite-des-applications-web.html#calendrier-fise)
- [calendrier FISA](/zz2-f5-securite-logicielle-securite-des-applications-web.html#calendrier-fisa)
-- 🔨 [installation de DVWA / 2](/zz2-f5-securite-logicielle-securite-des-applications-web.html#installer-dvwa-sur-sa-vm-perso-8-points)
-- 🔠[bonus pirate / +3 points](/zz2-f5-securite-logicielle-securite-des-applications-web.html#bonus-piraterie-3-points)
-
-
-# l'évaluation FISA Only
-
-- 🔥 [audit de sécurité sur 2 heures](/zz2-f5-securite-logicielle-securite-des-applications-web.html#audit-de-securite-sur-2-heures)
\ No newline at end of file
+- 🔨 [Note technique / 2](/zz2-f5-securite-logicielle-securite-des-applications-web.html#note-technique-2-points)
\ No newline at end of file
diff --git a/content/slides/main.js b/content/slides/main.js
index 0c04ce7..c8e4926 100644
--- a/content/slides/main.js
+++ b/content/slides/main.js
@@ -34,8 +34,8 @@ Reveal.addEventListener( "ready", (event) => {
url.origin == "http://dv.wa"
&& user != ""
) {
- a.href = "http://vm-etu-" + user + ".local.isima.fr" + url.pathname + url.search;
- a.innerHTML = "http://vm-etu-" + user + ".local.isima.fr" + url.pathname + url.search;
+ a.href = "http://vm-" + user + ".local.isima.fr" + url.pathname + url.search;
+ a.innerHTML = "http://vm-" + user + ".local.isima.fr" + url.pathname + url.search;
a.target = "_blank";
}
}
@@ -44,7 +44,7 @@ Reveal.addEventListener( "ready", (event) => {
for (let code of document.getElementsByTagName("code")) {
if (user != "") {
- code.innerHTML = code.innerHTML.replaceAll("dv.wa", "vm-etu-" + user + ".local.isima.fr");
+ code.innerHTML = code.innerHTML.replaceAll("dv.wa", "vm-" + user + ".local.isima.fr");
}
}
diff --git a/pelicanconf.py b/pelicanconf.py
index 8da02d1..ae4aae8 100644
--- a/pelicanconf.py
+++ b/pelicanconf.py
@@ -75,7 +75,7 @@ SOCIAL = (
(
'users-cog',
'<span style="font-size:13px">CRI ISIMA/LIMOS</span>',
- './slides/cri/cri.html'
+ 'https://hedgedoc.isima.fr/p/gD_i47uIi#/'
),
(
'building',
--
GitLab